二重化構ぶについて 


本章では Firewall を2台使用して、二重化構成を構築するための手順について説明します。 


セッ ト アップの概要(一96ページ） . 

. 一重化機能の動作概要じついて説明しています。 

セッ ト アップ(一100ページ） . 

. 一重化構成を構築する場合の設定手順について説 

明しています。 

運用（一128ページ） . 

. 一重化構成での運用方法について説明していま 

す。 

一重化構成の再セ、ソ ト アップト136ぺージ） . 

. 再セッ ト アップの手順が単体構成とは異なりま 

す。再セッ ト アップの際の差分や手順について説 
明しています。 


を意-制限事項(一142ぺージ) 


二重化構成で運用する際のを意事項や制限事項に 
ついて説明しています。 












ルータなど 




待機系 


業務クライアント 
(一般クライアント 
7シン） 


セツトアツつの概要 


二重化構ぶじついて説明します。 

この Firewall では、じ(下の2種類の二重化構成を作成することができます。 

• 片運用切替え型(ホ、ソトスタンバイ） 

一台で運用し、障害時にスタンバイしている方に運用を移行します。 

• 両運用切替え型（□ー ドシェア r 

二台で並列に運用し、障害時には運用側ですベての業務を引き継ぐことが巧能です。 

* □ー ドシェアとは、イントラネット側の業務クライアントマシンのデフォルトゲートウェ 
イをを々の Firewall に設定することにより、 Firewal に台での運用を巧能とするものです。 
障害時には、業務の引き継ぎ1台の Firewall で運用が巧能です。 


動作概要 


FirewaU を二重化することで1台が障害などにより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことにより、障害時の業務停止時間を最ル限に抑えることができます。 

また、運用系で FireWall -1 のプ□セスの異常を横化した場合や設定された IP アドレスとの通 
信が途絶した場合にも、待機系に業務を引き継ぐことが巧能です。 

W 下の仕組みで Firewall を二重化します。 

ホットスタンバイ 

• 通常運用時 

-運用系側の Firewall で有効にした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双方からアクセスします。 

-運用系/待機系の Firewall は互いにサーバの状態を監視をします。 


インターネット側 LAN 


イントラネット側 LAN 


運用系 


仮想 IP アドレス 
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• 運用系サーバ障害時 


-待機系の Firewall が運用系のダウンを橫化します。 

-運用系の Firewall が仮想 IP アドレスを無効にします。 

-待機系の Firewall が仮想 IP アドレスを有効にします。 

-インターネット側とイントラネット側の双方からのアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネット側 LAN 




DMZ を使用する場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
ます。 
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□-ドシェア 

• 通常運用時 

-両系の Firewall でを々の仮想 IP アドレスを使用してインターネ、ソト側とイントラネッ 
卜側の双方からアクセスします。 

-両系の Firewall は互いにサーバの状態を監視します。 



インターネット側 LAN 


イントラネット側 LAN 
CLUSTERPRO AE 


が 






• サーバ 障害時 


-どちらか一方の Firewall が業務の異常、または障害を橫化します。 

-障害側の Firewall は、自分の仮想 IP アドレスとの対応を、正常側の Firewall と対応さ 
せるようじ変更します。 


イントラネット側 LAN 


インターネット側 LAN 



ぐ 


CLUSTERPRO AE 


目 IP ア片ノフ^ 



ク仮想 IP アドレス 


サーバ監視専用 LAN 


仮想 IP アドレス 


ぐ 


ルータなど 


業務クライアント 
(一般クライアントマシン） 


CLUSTERPRO AE 





仮想 IP アドレス 


仮想 IP アドレス 
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二重化構成では Firewal に台のほかに管理用サーバが必要となります。 Express 5800/ 
FW 300 または FW 500 をもう1台使用し、管理サーバとして動作させることも巧能です。 


於要な IJ ソース 


二重化を実現するためには、 Firewall を単体で運用するときに比べて新たなリソースが必要 
です。 

セットアップの前にリソースの計画や設定をしてください。 

• 仮想 IP アドレス(インターネット側)：1つ（□—ドシェアは2つ） 

インターネット側で引き継ぐアドレスです。 

インターネ、ソト側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス(イントラネット側)：1つ（□—ドシェアは2つ） 

イントラネット側で引き継ぐアドレスです。 

イントラネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス ( DMZ 側)：1つ（□—ドシェアは2つ） 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要です。 

DMZ のネ、ソトワークアドレス内でホ使用の IP アドレスを設定してください。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 円 rewall 間通信用アドレ又1つ 

Firewall 間の監視に使用するアドレスです。 

基本的じは、 Firewal 監視き用アドレスとして、 Firewall 本体のインタフェースに割り当 
ててください。 
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セットアップ 


ホ、ソトスタンバイ、□ー ドシェアの設定について説明します。 


ホットスタンパイの設定 


t (下のネットワーク構成を例にとって設定を行います。 

□ードシェアを行う場合は、本章の r □ードシェアの設定」を参照してください。 


参 

Firewain (運用系） 



ホストを： 

fws 1 


インターネット側実 IP アドレス： 

202.247 .5.1/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.1/255.255.255.0 


Firewall 間通信用 IP アドレス： 

192.168 .2.1/255.255.255.0 

参 

Firewalls ( 待機系） 



ホストさ)： 

fws 2 


インターネット側実 IP アドレス： 

202.247 .5.2/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.2/255.255.255.0 


Firewall 閨通信用 IP アドレス： 

192.168 .2.2/255.255.255.0 

参 

仮想 IP アドレス 



インターネット側： 

202.247 .5.3 


DMZ 側： 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

参 

プ□キシ ARP アドレス 



インターネット側： 

202.247 .5.4/255.255.255.0 

参 

管理用サーバ 



ホストを： 

firewalLmgr 


IP アドレス： 

192.168 .1.4/255.255.255.0 

参 

GUI クライアント用 PC 



IP アドレス： 

192.168 .1.5/255.255.255.0 
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設定手順の流れ 


W 下に設を手順の流れを示します。ここでは二重化に関する設定内容のみを説明します。そ 
の他の手順については3章を参照してください。 



〇 



み 


セ夺ユリテイポリシーの設定 


み 


こ重化機能の設定 


〇 


他のネットワーク機器の設定 
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FireWall -1 管理サーパのセツトアツ 



二重化する2台のサーバを管理するための管理サーバをセットアップします。じ(下の条件を 
満たすコンピュータじ管理モジュールをインス I -ールしてください。 Express 5800/ 
FW300 または FW500 をもう 1 台用意し、管理サーバとして動作させることも巧能です。 


オペレーテイングシステム ： Windows 2000 Se 「 ve 「 (SP1 、 SP2 、 SP3 、 SP4 )、 

Windows 2000 Advanced Se 「 ve 「 (SP1 、 SP2 、 SP3 、 
SP4 )、 

Windows 200 3 Se 「 ve「(SP 1 、 SP2 )、 

SolarisS/ UltraSPARC 、 

Sola 「 is9/UltraSPARC 、 

SolarislO/UltraSPARC 、 

RedHat Enterprise Linux 3.0 (kernel version 2.4.21) 


Windows 
ディスク容量： 
メモリ： 

Linux 

ディスク容量： 
メモリ： 

Solaris 
ディスク容量： 
メモリ： 


300 MBt (上 
256MBt (上 

300 MBW 上 

256M 目 t (上(推奨 51 2MBJU 上） 
100 M 目 W 上 

1 28M 目 t (上(推奨 256MBU 上） 


* 上記は、 2007 年 3 月現在の情報です。今後のパッチリリースにより変更じなる可能性があ 
ります。 
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Firewall -1 管理ヴーノ（の設定 

Express 5800 / FW 300 または FW 500 を管理サーバとして動作させる場合の設定例です 。 W 
下の手順に従って設定を行ってください。 

1. インストール / 初期導人設定用ディスクによる設定を巧う。 

3 章の ri. インストール / 初期導入設定用ディスク ( こよる設定」を参照し、初期設定と管理クライア 
ントの接続を行ってください。 

p-Ol^ 

「インストール/初期導入設定用ディスクの作成」- r 各入力項目の設定」において、「ヴーパタイ 
プ」は r 管理ヴーノ川こチェックをしてください。 

2. 基本設定ツールによる設定を行う。 



3章の「2.システムのセットアップ」- r 基本設定ツールによる設定」を参照し、管理サーバとし 
て使用ずるための設定を行ってください。サーバタイプの設定では、 
「2. Mana 呂 ementServer 」 管理ヴーバになっていることを確認してください。 


# fwsetup 

Firewall Server conflauration tool Ver.2.5-0 

server type 

1. Firewall 

2. Management Server 

select number[2].. 

〈运〉 

# shutdown -r now 


確認 


3. 設定終了後、再起動する。 
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VPN-1 UTM Gateway. 

SmartCenter UTM. 

SmartCenter UTM and VPN-1 UTM Gateway. 


Enter your selection (1-3/a-abort)[1] : 2 


① Fi「eWall-1 管理モジュールの〕ンフィグレーシヨンをする。 
③使用許諾に承認した場合は <Y> キーを押す。 

③ インストールする製品を選択する。 

2の 「Check Point UTM」 を選択し、インストールします。 

④ インストールするモジュールを選択する。 

「2」を選択し、インストールします。 


# cpconfig 


Welcome to Check Point Conrlauration Proqram 


Please read the following license agreement. 
Hit ,ENTER, to continue.... 


Do you accept all the terms of this license agreement (y/n) ? y . 

Please select one of the following options : 

Check Point Power - for headquarters and branch ofrices. 

Check Point UTM - for medium-sized businesses. 

(1) Check Point Power. 

(2) Check Point UTM. 

Enter your selection (1-2/a-abort)[1] : 2 . 

Please specify the Check Point UTM Product type you are about to install : 


円 reWall -1 管理モジュールのコンフィグレーション 

管理モジュールを管理サーバへインストールします。 w 下の手順でコンフィグレーションを 
行ってください。図中の〈略〉の設定する項目じついては、3章の「2.システムのセットアッ 
プ」- 「Fi「ewWall-1 のコンフィグレーション」を参照してください。 


1 


2 3 


① 


② 
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ik) 

************* Installation completed successfully ************* 

Do you wish to start the installed product(s) now? (y/n) [y] ? y 

cpstart: Power-Up self tests passed successfully 

(略） 

# shutdown -r now . 


① 


② 


① 管理モジュールを起動させる。 

② 再起動する。 
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Firewall 本巧のセツトアツ 



Firewall のセツトアップじついて説明します。 

マシンの設定 

じ(下の手順に従って設をを行って < ださい。 


1. インストール/初期導人設定用ディスク(こよる設定を巧う。 

3章の「1.インストール/初期導人設定用ディスクによる設定」を参照し、初期設定と管理クライア 
ントの接続を巧ってください。 

2 . 基本設定ツール(こよる設定を巧う。 

3章の「2.システムのセツトアップ」-「基本設定ツールじよる設定」を参照し、設定を行ってくださ 
い。 


上記の設定においては、二重化機能を使用しない設定としてください。二重化機能の設定につ 
をましては、後述の r 二重化機能の設定」で行いまず。 


Use cluster system ? ( y / n ) [ n ]: 
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Firewall -1 のコンフィグレーション 


VPN-l UTM Gateway. 

SmartCenter UTM. 

SmartCenter UTM and VPN-1 UTM Gateway. 


Enter your selection (1-2/a-abort)[1] : 丄 


① FireWall-1 のコンフィグレーションをする。 

③使用許諾に承認した場合は <Y> 羊一を押す。 

③ インストールする製品を選択する。 

2の 「Check Point UTM」 を選択し、インスI -- ルします。 

④ インストールするモジュールを選択する。 

「1」を選択し、インストールします。 


( 1 ) Check Point Power. 

(2) Check Point UTM. 

Enter your selection (1-2/a-abort)[1] : 2 . 

Please specify the Check Point UTM Product type you are about to install : 


③ 


④ 


二重化構成の場合、コンフィグレーション手順が3章とは一部異なります。図中の〈略〉の設 
定する項目については、3章のに.システムのセツトアップ」- rFi「eWall-1 の〕ンフイグレー 
シヨン」を参照してください。 


# cpconfig 


We 丄 come to Check Point Conrlauration Program 

Please read the following license agreement. 
Hit 'ENTER' to continue. 


Do you accept all the terms of this license agreement (y/n) ? y 

Please select one of the following options : 

Check Point Power - for headquarters and branch ofrices. 

Check Point UTM - for medium-sized businesses. 


① 


.② 


1 


2 3 


108 
















Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ?. 

Would you like to install a Check Point clustering product (CPHA, CPLS or State 
Synchronization)? (y/n) [n] ? y . 


IP forwarding disabled 

Hardening OS Security: IP forwarding will be disabled during boot. 
Generating default filter 
Default Filter installed 

Hardening OS Security: Default Filter will be applied during boot. 
This program will guide you through several steps where you 
will define your Check Point products configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfig 


.① 

.② 


① Dynamically Assigned IP Address Module をインストールするか間い合わせがあるの 
で、く Erite 「> 羊一を選択する。 

③ Check Point clustering product をインストールするか間い合わせがあるので、く Y > 
车一を押す。 


Configuring Secure Internal Communication... 

The Secure Internal Communication is used for authentication between 
Check Point components 


Trust State : Uninitialized 
Enter Activation Key: 
Retype Activation Key: 


] 


The Secure Internal Communication was successfully initialized 

initial—module: 

Compiled OK. 

Hardening OS Security: Initial policy will be applied 
until the rirst policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y ■ 


① 


.② 


① Fi 「 eWall -1 管理サーバと Firewall 間での通信に使用するパスワードを設定してください。 

② 終了後、再起動します。 
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七キュ IJ ティポ IJ シーの 設定 


Firewall オブジェクトの作成 

1. 2台の Firewall のオブジェクトを作成する。 

— ViewObjectTree のに heckPoint] を選択し、ちクリックします。 

[New Check Point] 一 [VPN- 1 Power/UTM Gateway] を選択します。 

に heck Point installed Gateway using] ダイア□グが表示された場合、に lassie mode] を 
選択し、 [0K] を押してください。 

—オブジェクト： Gateway 
さ)前 ： fws1 、 fws2 

内容 ： IP Address には FireWall-1 管理サーバと同じネットワークの実 IP アドレス 

を設定して < ださい。 

一円 reWall-1 管理サーバか6円 rewall を管理(セキュリティポリシーの設定や□グ表示など)す 
るためには、円 reWall-1 管理サーバと Firewall との間で通信を巧うための設定が必要です。 
General ぺージでに ommunication …]をクリックし、 FireWall- 1の〕ンフィ グレーシヨ ン時 
に設定したパスワードを入力してください。 


M 
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- Topology ぺージで全インタフエースを設定します。 


wr 


过 
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2. じ(下のクラスタオブジェクトを作成する。 

— ViewObjectTree のに heckPoint ] を選択し、ちクリックします。 

[New Check Point ] 一 [ VPN -1 Power/UTM Cluster ] を選択します。 

に heck Point installed Gateway using ] ダイア□グが表示された場合、に lassie mode ] を 
選択し、 [0 K ] を押してください。 


—オブジェクト 
さ)前 
内容 


Gateway Cluster 
fws _ cluste 「 

IP Address (こはインターネット側の仮想 IP アドレスを指定してください。 


ぶ 


GimilPkopoitk 无 
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3. Cluster Members ぺージで、手順 1 で作成した 2 台の円 rewall オブジェクト ( fws 1 と fws 2) を追加す 
る。 



4. 3 rd Party Configuration ぺージで、設定を確認する。 

「Use State Synchronization 」 (こチェックが付いていることを確認します。チェックががいてい 
ない場合は、チェックをがけます。 

「Hide Cluster Members’ outgoing traffic behind the Cluster’s IP Address 」 ( こチェックろ、、付 
いていないことを確認します。 

□—ドシェアを行う場合は 、 「Load Sharing 」 にチェックを付け 、 OPSEC cluster solution ’ s の 
チェックボックス(こチェックががいていないことを確認してください。 





























3rd Party 
Topology 


Properties 
Members 
ty Configuratic 


xj 


NAT 
… Authentication 
3 Logs and Masters 
… Capacity Optimization 
g Advanced 


172.16 .1.3 172.16 .1.1 172.16 .1.2 Cluster 

202.247 .5.3 202.247 .5.1 202.247 .5.2 Cluster 

192.168 .1.3 192.168 .1.1 192.168 .1.2 Cluster 

192.168 .2.1 192.168 .2.2 1st Sync 


I Edit iopology 


F7 Enable Extended Cluster An が - Spoofing 

(Supported from NG with Application Intelligence (R55) and 

WPW Pin m A in .r- - _ - == — =_ - . _ — _ - 


VPN Domain 

(* All IP Addresses ^irvd Cluster Members baeed on Topology imormation. 
C Manually defined F 

Show VPN Domain | 


Set domain for Remote Access 001 




己. Topology ページにてインタフェースの設定する。 

[Edit Topology ] をクリックします。 

IP アドレスには、仮想 IP アドレスを設定し 、 Network Objective プルダウンメニューより、 
「 Cluster 」 を設定します。 

同期用ネットワークの IP アドレスは設定せず、プルダウンメニューより、 r 1 st Sync 」 を設定しま 
す。 

□-ドシェアを行う場合は、二重化機能の設定で groupO 、 groupl で登録した仮想 IP アドレスを 
全て設定してください。 
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二重化用ルールの追加 


二重化機能を使用するためじは、サーバ間の状態監視用通信を通すためのルールを設をする 
必要があります。 

1. メニユーの [ Manage ]-^ に ervices ...]-^[ New ] を選択し、(下のサービスを定義する。（名前は一 
例です。他のを前でも構いません。） 


オブジェクト : TCP 
さ)前 ： clp_tcp 

ポート ：28001 



オブジェクト : UDP 
名目 I 」 ： cip—udp 

ポート ：28002 



p-OiM 

上記ポート番号は基本設定ツールにおける既定値のポート番号でず。二重化機能の設定でポー 
卜番号を変更ずる場合はその設定に合わせてヴービスの定義を行ってください。 


2 . 上記の二重化通信用のルールを追加する。 


項目 

Source : 

Destination : 

Service : 

Action : 


設定值 
fws 1、 fws 2 
fws 2、 fws 1 
cip - tcp 、 clp—udp 
accept 







































□ー ドシェアを行う場合は杉下の点にま意してください。 

-セッション同期ネットワークは必ず専用ネットワークとしてください。 

-ネットワークの定義として、杉下のよラな定義び必要となりまず。ただし、このネット 
ワーク設定は Firewall- 1におけるオブジェクト定義のみであり、実際のネットワーク構 
成へ反映するものではありません。 

(下記は、192.1目 8.1.1 〜192.1目 8.1.1 27を fwsl で使用、1 92.1 目 8.1.1 28〜 
1 92.1 68.1.2 己4を fws2 で使用して通信を巧う場台の例です。） 

1.VewObjectsTree の [Networks] ちクリックし、 [New Network] を農択し、 
似下の2つのネットワークオブジェクトを作成しまず。 

ネットワークオブジェクト！ 

オブジ王クト名： network_l 

IP アドレス ： 192.168.1.0 

，、ットススク: 25己.2己己.2己5.128 

HideNAT :呂 roupO に登録した仮想 IP アドレス 

ネットワークオブジェクト2 

オブジ王クト名： network_2 

IP アドレス ：192.168 .1.128 

，、ットススク: 25已 .2 己己.2己已 .128 

HideNAT :呂 roupl に登録した仮想 IP アドレス 


2. 192.16 8.1.1-192.168.1.1 27の内部ホストは、呂 roupO に登録した仮想 IP 
アドレスに HideNAT されまず。 

1 92.1 目 8.1.1 28〜1 92.1 目 8.1.2 己4の内自 BtTv ストは、呂 roupl に登録した仮も弓 
IP アドレスに HideNAT されます。 

-監視対象アドレスとして network_ りこ含まれるアドレスを付与した場台、 Address 
Translation ルールに下のルールを追加してください。なお、 network_2 に含ま 
れるアドレスを付与した場 S ま、同様に network_2 用のルールを追カロしてください。 





面 J twsi 
田 ] fW52 


■V" netwcxkj 
•V* ndwofkj 


♦ Any 8 Orignal » Original = Original 

♦ Ary a Ori^neii a Origviai = Ongnal 
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二重化用設定事項 


二重化機能を使用するためには、設を事項として、 [ Policy ] - [Global Properties ] - [ NAT - 
Network address translation ] ぺージで 「Automatic ARP configuration 」 のチェックを外す 
必要があります。 



チェックをタトす 


セキュリティポリシーのインス I -ール 


セキュリティポリシーの作成が完了したら、ポリシーをインストールしてください。2台の 
Firewall にインス I ルされます。 

セキュリティポリシーのバックアップ 

二重化構成の場合、ポリシー情漸ま Fi 「 eWall -1 管理サーバに保存されますが、情報のリスト 
アの際には、管理サーバと Firewall 本体の両方のバックアップデータが必要となります。管 
理サーバとして Express 5800 / FW 300または FW 500を使用している場合には、3章の「4. 
バックアップ」コマンドによるバックアップを参照してください。 FireWall -1 モジュールの 
バックアップ方法と同じです。 

その他のサーバを使用している場合には、該当するファイルのバックアップが必要となりま 
す。似下のバックアップファイル取得方まは、 Windows マシンを使用した場合の一例で 
す。） 


1 . コマンドプ□ンプトより、円 reWall -1 を停止します。 

C :¥> cpstop 

2 . 停止後、]:>(下のコマンドを実行します。 

「 export . tgz 」 バ、ソクアップファイルが作成されます。 

C :¥> cd C:¥WINNT¥FW1¥R 目 2¥fwl¥bin¥up 呂 radejtools 
> up 呂 rade_export.exe export 

I p-O 「C:¥WINNT¥FW1¥R 目 2¥fwl」 は、円 reWall-1 をインス!ルしたディレクトリ 

になりまず。インス!ルディレクトリによって異なりまず。 

3. バックアップファイルを取得後、 FireWall -1 を起動します。 

「 C:¥> cpstart 


I n-O セキュリティポリシーの設定の説明において使用している画像イメージは、 
円 reWall-l の FeaturePack によって異なる場合びありまず。 
















二重化機能の設を方法を説明します。設定は基本設をツールから行います。両 Firewall で全 
く同じ設定を行ってください。 

二重化機能の設を項目およびそれぞれの制限事項は t (下のとおりです。 

♦ 八ートビート送信間隔 

八ートビートの送信間隔(秒）を指定します。 

♦ 八ートビートタイムアウト時間 

八ートビートが途絶してネ目手 Firewall がダウンしたと認識するまでの時閨(秒)を指をしま 
す。八ートビート送信闇隔より大きい値を指をしてください。 

♦ Firewall 起動待ち時間 

起動時に相手 Firewall の起動時闇を待ち合わせる時闇(秒)を指定します。八ートビートタ 
イムアウト時闇より大きい値を指をしてください。 

• 内部通信用 TCP ポート番号 

2台の Firewall 間で通信を行うための TCP のポート番号を指定します。 

♦ 内部通信用 UDP ポート番号 

2台の Firewall 間で通信を行うための UDP のポート番号を指をします。 

♦ Firewall 1のヴーバ名 

ホストをは FQDN 形式ではなく、ドメインをを除いたを前を指定してください。 

♦ FirewaN 2 のヴーバ名 

ホストをは FQDN 形式ではなく、ドメインをを除いたを前を指定してください。 

♦ Firewalll のインタコネクトアドレス 

ネ目手 Firewall を監視するためのアドレスとネットマスクを入力します。 

♦ FirewaN 2 のインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

♦ 仮想 IP アドレス 

二重化機能を使用する場合、 Firewall へのアクセスは原則仮想 IP アドレスを使用する必要 
があります。 

サーバ闇監視専用インタフェースを除く全インタフェースじ仮想 IP アドレスを設をして 
ください。 

• 監視対象アドレス 

監視対象として設定された IP アドレスとの通信が途絶した場合、待機系 Firewall にフェイ 
ルオーバが行われます。本項目の設をは省略することができます。 

♦ プ□キシ ARP アドレス 

S ね ticNAT 機能を使用する場合、外部公開アドレスとして使用するアドレスを指定して 
ください。 
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• 運用系 Firewall 

運用系の Firewall を指定します。 

• 自動フ I イルバック 

自動フェイルバックを行うかどうか設をします。自動フェイルバックを auto じした場 
合、運用系ダウン後、待機系に業務が引き継がれている状態で、運用系が復帰(起動)す 
ると、自動的に運用系に業務を戻します。 

ホットスタンバイの設定 

基本設をツールでの設定手順を示します。 JU 下の内容は、本章の「セットアップ」で示した 
ネットワーク構成を例にとって説明します。 


① 

② 

③ 
④ 

① 管理クライアントから Firewall の基本設をツールである fwsetup コマンドを起動する。 

② fuse cluster system 」 の項目までは、く ENTER 〉 羊一を押して進み、設定:内容を確1忍す 
る。 

③ こ重化機能を使用する。 < Y > キーを押す。 

④ □-ドシェアの間い （use load share ?) じ [ y ] で答えると□-ドシェアの設定が開始され 
る。 

ここでは、ホットスタンバイの設定を行うので、く N >车一を押します。 


# fwsetup . 

Firewall Server configuration tool Ver.2.5-0 

<l§> . 

use cluster system? (y/n)[n] : y . 

use load share? (y/n)[n] : n . 


- START CLUSTERPRO configuration —— 

CLUSTERPRO Configuration Tool Ver 1.0 -4 

- cluster configuration - 

Input HB interval(0 - 999) [0] : .. 

Input HB timeout(1 - 999)[1] : . 

Input WAIT Timeout(1 - 999) [ 己 ]: . 

Input API TCP port number[28001] : . 

Input HB UDP port number[28002] : . 

Input serverl host name : fwsl. 

Input server2 host name : fws2 . 


..① 
..② 
1 .. ③ 

..④ 

..⑥ 

，.⑥ 

..⑦ 


①八ートビート送信間隔(秒)を入力する。 

③八ートビートタイムアウト時間(秒）を入力する。 

③起動時にネ目手 Firewall の起動を待ち合わせる時間(秒)を入力する。 
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④内部通信用の TCP ポート番号を入力する。 

⑥内部通信用の UDP ポート番号を入力する。 

⑥ Firewall 1のサーバを（ホストを）を設定:する。 

ホストをは FQDN 形式ではなく、ドメインをを除いた名前を指定してください。 

⑦ Firewal にのサーバを（ホストを）を設をする。 

ホストをは FQDN 形式ではなく、ドメインをを除いたを前を指定してください。 




server configuration - 

Input fwsl interconnect address . 

address(1) :192.168 .2.1 
netmask(1) : 255.255.255.0 
address(2) : 

No. address/netmask 
1 192 ， 168.2 ， 1/2 己己， 2 己己， 2 己己 ， 0 

("a"=add | "m num"=modify | "d num"=delete | "1"= list | Enter=next) 


Input fws2 interconnect address . 

address(1) :192.168 .2.2 
netmask(1) : 255.255.255.0 
address(2) : 

No. address/netmask 
1 192.168 .2.2/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) 


.① 


.② 


①運用系 Firewall の Firewal 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 

インタコネクトアドレスは16個まで設定巧能です。 

設定後に一覧を表示します。 

一覧から設定内容の追力日、および修正、削除、一覧の再表示を羊一入力から操作できま 


す。 

く 八>キー+ く Ente 「> キー： 


インタコネクトアドレスを追力□しま 
す。 


く 1\/|>车一 + r 修正する一覧の番号」+く Enter 〉 羊一：指定した番号の設定を修正します。 
く D > 羊一+「削除する一覧の番号」+く Ente 「> 羊一:指定した番号の設定を削除します。 
く1_>丰 一+く [1^ぉ「>キー： 一貴を再表71^します。 


く Enter 〉 キー： 


次の項目ヘス车ップします。 


②待機系 Firewall の Firewal 簡監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 
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- group configuration - 

No. name 
1 group0 

- group rip configuration - 

Input FIP address . 

address(1) : 202.247 .5.3 
netmask(1) : 255.255.255.0 
address(2) :172.16 .1.3 
netmask(2) : 255.255.255.0 

address(3) :192.168 .1.3 
netmask(3) : 255.255.255.0 

address(4) : 

No. address 

1 202,247 ，己， 3/2 己己， 2 己己， 2 己己 ， 0 

2 172 .168.1.3/255.255.255.0 

3 192.16 8 .1.3/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


① 


①仮想 IP アドレスを入力する。 

仮想 IP アドレスは8個まで設を可能です。 

設定後に一覧を表示しますので、磕認、または、変更して<£が6「>车一で進みます。 

>1; 二重化機能を使用する場合、サーバへのアクセスは、原則仮想 IP アドレスを使用する必要が 

I ヒント I あります。 

サーノ く間監視専用インタフエース必外の全インタフ : L - スに仮想 I P アドレスを設をしてくだ 
さい。 
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① 


202.247 .5.5 I 202.247 .5.254 

192.168 .1.254 


202.247 .5.254 

192.168 .1.254 


♦ 202.247 .5.254 と1 92. 1 68. 1 .254 の双方と通信が途絶した場合にフェイルオーバを 
わし^たし^場合。 

No. address 

1 202.247 .5.254 I 192.168 .1.254 

♦ 202.247 .5.5 と202.247 .5.254 の双方と通信が途絶した場合か、192.16 8.1.254 と 
通信が途絶した場合にフェイルオーバを行いたい場合 

No. address 


- group 0 ipw configuration - 

Input IPW address . 

address(1) : 202.247.5.xxx |202.247.5.xxx 
address(2) : 

No. address 

1 202.247. 己 . xxx |2 0 2.2 4 7 . 己 . xxx 

("a"=add | "m num"=modify | "d num"=delete | "1"= list | Enter=next) : 


①監視する IP アドレスを入力する。 

「1」で区切って複数の IP アドレスを入力することができます。その場合は、指定した全 IP 
アドレスとの通信が途絶した場合にリソース異常となります。 

監視する IP アドレスは8個まで設定巧能です。ただし、「1」で区切った IP アドレスは全体 
で1つの IP アドレスとしてカウントします。 

設定後に一覧を表示しますので、磕認、または、変更して <Ente「> 羊一で進みます。 

監視が象として設をされた IP アドレスとの通信が途絶した場合、待機系サーバにフてイル 
才ーバが行われます。 

く設定例> 

• 202.247 .5.254 と1 92. 1 68. 1 .254 のどちらかと通信が途絶した場合にフエイルオー 

バを行いたい場合。 

No. address 


12 


12 
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- group 0 proxy arp configuration 


Input proxy address . 

address(1) : 202.247. 己 . 4 
address(2) : 

No. address 
1 202,247 ，己 ， 4 

("a"=add | "m num"=modify | "d num"=delete | 


=list I Enter=next) : 


，① 


①設をするプ□キシアドレスを指定する。 

プ□キシ ARP アドレスを入力します。プ□キシ ARP アドレスは256個まで設を巧能で 
す。 

設を後じ一覧を表示しますので、磕認、または、変更して <Erite「> キーで進みます。 


■I ： プロキシ ARP ァドレスでは、運用系サーバにて S ね ticNAT を行う場合の公開用 IP ァドレスと 
rpq なります。 S ね ticNAT で公開する IP アドレスをすべて登録してください。 


- group 0 resource configuration - 

Input primary server hostname(fwsl,fws2)[fwsl] 
Input fallback policy(1:auto, 2:manual)[manual] 
- END CLUSTERPRO configuration - 


① 

② 


① 運用系サーバを入力する。 

② 自動フェイルバックを行うかどうか入力する。 


I n-O 上記の設定は fwsl 、 fws 2 で同じ設定にしてください。 

1 ^ 

上記の設定後は、本体を再起動させる必要があります。 U 下のコマンドを入力してくださ 
い。 

# shutdown -r now 
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他のネットワーク機器の設定 


イントラネットと DMZ じを在するネットワーク機器については、デフォルトルートの設を 
としてサーバに設定したそれぞれのネットワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 側：172.16 .1.3) を指定するようにしてください。 


【参考】 NAT のためのルーティングテーブル 

Firewall の二重化構成において、 DMZ 上や□一カルネ、ソト内のサーバのアドレスを静的に 
NAT (アドレス変換）し、インターネット上に公開する場合、ルーティングテーブルと 
ProxyARP テーブルの設定を別途行う必要があります。 

例として、 W 下のネットワーク構成の場合、公開用 WWW/FTP サーバを該当するホストと 
すると、 trF のようなルーティングテーブルと ProxyARP テーブルの設をを Firewall へ行う必 
要があります。 

'■■■■； 202.24 7.5 .に7 
' _ ' (NAT 後の IP アドレス） 


仮想 IP アドレス 
202.247 .5. 126 



destination 202.247 .5. 127 
netmask 255.255 .255. 255 
gateway 172.16 .1.2 

変換後のアドレスを destination、 実際のアドレスを gateway じ指をしてくださし^。 
fwsetup の static routing の項目で設定することができます。 

ProxyARP の設をについては、前述の r 二重化機能の設を」を参照してください。 
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□—ドシェアの設定 


W 下のネットワーク構成を例にして説明します。 

まずは、ホットスタンバイの設をを参照し、 「 Firewall のセットアップ」と r セキュリティポリ 
シーの設を」を行ってください。 


• Firewall 1 

ホストを： 

インターネット側実 IP アドレス: 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレ又 
Firewall 闇通信用 IP アドレス： 

• Firewall 2 

ホストさ)： 

インターネット側実 IP アドレス: 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレ又 
Firewall 間通信用 IP アドレス： 

参仮想 IP アドレス ( groupO 側） 

インターネット側： 

DMZ 側： 

イントラネット側： 

参仮想 IP アドレス(呂 roupl 側） 

インターネット側： 

DMZ 側： 

イントラネット側： 


インターネット側： 

• 管理用サーバ 

ホストを： 

IP アドレス： 

• GUI クライアント用 PC 

IP アドレス： 


fws 1 

202.247 .5.1/255.255.255.0 
172.16 .1.1/255.255.255.0 
192.168 .1.1/255.255.255.0 
192.168 .2.1/255.255.255.0 


fws 2 

202.247 .5.2/255.255.255.0 
172.16 .1.2/255.255.255.0 
192.168 .1.2/255.255.255.0 
192.168 .2.2/255.255.255.0 


202.247 .5.3 

172.16 .1.3 

192.168 .1.3 


202.247 .5.4 

172.16 .1.4 

192.168 .1.4 


202.247 .5.5 


202.247 .5.6 


firewalLmgr 

192.168 .1.4/255.255.255.0 


192.168 .1.5/255.255.255.0 


• プ□キシ ARP アドレス(呂 roupO 側) 

インターネット側： 

• プ□キシ ARP アドレス ( groupl 側) 
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インターネット側 LAN 


C 202.247.5.で> 


202.247 .5.1 192.168 .1.1 


イントラネット側 LAN 
192.168 .1.0/255.255.255.0 


202.247 .5：^ 

192.168 .2.1 




ダウン時引継 



サーバ監視 
専用 LAN 
192.16 8.2.0/ 
255.255 .255.0 

192.168 .2.2 


202.247 .5.0/255.255.255.0 


02.247.5.3：> 


づ168.巧 
r^.16.lT3^ 



72.16.1.1 / CJ ^. 16.10 



ダウン時引継 


ダウン時引継 


‘ <2〇2.247.5.4> 
202.24 7.5 




172.168.1.2\ CH 唾国お 
Cra 2.168.1.^1^ 

わ兩 .16.1 す^ 


172.16 .1.2 


而 .16.1.0 


管理 サーバ 
192.168 .1.5 


管理クライアント 
192.168 .1.6 



社内 LAN へ 
DMZ LAN 

172.16 .1.0/255.255.255.0 


公開用 WWW/FTP などへ 
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次に、「二重化の設を」を行います。 

ここでは、□-ドシてアの機能を有効じして groupO と g 「 oup 1 に設をを行います。 


# fwsetup . 

Firewall Server configuration too 丄 Ver.2.5-0 

<l§> 

use cluster system? (y/n)[n] : y . 

use load share? (y/n)[n] : y . 

<l§> 

- group configuration - 

No. name 

1 group0 

2 group1 

- group0 fip configuration - 

<l§> . 

- group0 property configuration - 

Input primary server hostname(fwsl,fws2)[fwsl] : 

Input fallback policy(1:auto, 2 : manual)[manual] : 

<l§> 

- group1 fip configuration - 

<l§> . 

- group1 property configuration - 

Input primary server hostname(fwsl,fws2)[fwsl] : fws2 
Input fallback policy(1:auto, 2 : manual)[manual] : 

<l§> 

Please reboot the system. 

# shutdown -亡 now . 


① 


② 

③ 


④ 


⑥ 

⑥ 


⑦ 


①管理クライアントから Firewall の基本設をツールである fwsetup コマンドを起動する。 
③ ruse cluster system ?」 の設定:までは、く Enter 〉 キーを押して進みます。 


ここでは、二重化機能を使用するので < Y > キーを押します。 

③ □-ドシェアを行うので、く Y >+ —を押す。 

④ groupOl こ関する設定を行う。 

設を項目については、「ホ、ソトスタンバイの設定」を参照してください。 
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⑥ group 1じ関する設をを行う。 

設定項目については、「ホ、ソトスタンバイの設を」を参照してください。 

⑥ group 1におけるプライマリを入力する。 

ここでは、 groupO のプライマリ設定とは逆の Firewall を設定してください。 

⑦ Firewall 本体を再起動する。 

— "〇 • プ□キシ ARP アドレスの設定において呂 roupO と呂 roupl では、同一 IP アドレスの使用 
はできません。異なる IP アドレスを設定してください。 

• 上記の設定は fwsl 、 fws 2 で同じ設定にしてください。 


他のネットワーク機器の設定 


イントラネットに存在するネットワーク機器のデフォルトルートには、 JU 下の仮想 IP アドレ 
スを設定してください。 

参前述のオブジェクト networkj にを義したネットワークじ属している機器には groupO じ 
登録したイントラネット側の仮想 IP アドレス。 

参前述のオブジェクト rietwo「k_2 にを義したネットワークじ属している機器には g「oup1 じ 
登録したイントラネット側の仮想 IP アドレス。 


I 重化構成について 
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運用 

二重化構成の運用について説明します。 


障害発生時の巧応 


運用系サーバにおいて障害を橫化した場合には、フェイルオーバが発生し、待機系サーバへ 
業務が切り替わります。その際に基本設をツールで指定した管理者の E - mail アドレス宛に 
メールが送信されます。 

• ダウンしたとさのメッセージ 


Subject: WARNING : [groupO] is downed 
!!WARNING!! 

[groupO] is not active on Firewa 丄丄 （ fwsl. 打 ec.co.jp[202.247.5.1]). 
Urgently check it. 

If you recieved a previous message "NOTICE : [groupO] changes 
to the active firewall"from fwsl.nec.co.jp[202.247.5.1], 
both groups are downed. 

Urgently check both groups!! 


• フェイルオーバしたときのメッセージ 


Subject: NOTICE : [groupO] chnges to the active firewall 
!!NOTICE!! 

[groupO] chnges to the active 
firewall(fws2.nec.co.jp に 02.247 .5.2]). 

Urgently check another failed rirewall. 


I n-O ダウンした要因びネットワークの通信障害などの場合、ダウンしたとをのメッセージびヴー 
バ内に滿留し、障害復旧後に送信されることがあります。メッセージを受信した 5 必ずその 
発信時刻を確認するようにしてください。 

メールを受信したら Express 5800 / FW 500の状態を磕認し、システム□グからフェイル 
オーバが発生した要因を磕認し、必要な対処を行ってください。メッセージ内容、対処方法 
等は r 付録 C 二重化機能の□グメッセージ」を参照してください。 

• 監視対象 IP アドレスとの通信途絶、あるいは、 Fi 「 eWall -1 プ□セス消滅が発生し、待機系 
Firewal に業務を引き継いだ場合、 t (後、そのサーバ上での業務の起動が拒否されるよう 
になります。その Firewall が業務の起動拒否状態かどうかは 、 [cipstat - s ] の 
[ STARTING ] で磕認できます。 
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• 運用系 Firewall が起動拒否状態のまま待機系 Firewall で業務を遂行している場合、待機系 
Firewall で監視対象 IP アドレスとの通信途絶、あるいは Fi 「 eWall -1 プ□セス消滅が発生し 
てち、 待機系 Firewall から運用系 Firewall へは業務が引き継がれず、引き続き待機系 
Firewall で業務が遂行されます。但し、上記の条件においてもネ目互のインターコネクトの 
通信が途絶した場合においてはこの限りではなく、起動拒否状態であっても運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されます。 

[監視対象 IP アドレスとの通信途絶び原因の場合] 

-監視対象 IP アドレスとの通信復帰 
- dpgrp コマンドによって業務を起動 
- Firewall 再起動 

[ Firewall - 1プ□セス消滅び発生した場合] 

- dpgrp コマンドによって業務を再開 
- Firewal 席起動 
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コマンドリファレンス 


状態表示、運用系、待機系の切り替えなどはコマンドを使用して行います。 

情報表示 

現在の状態、設定内容を磕認するにはじ(下のコマンドを実行します。 

C 丄 pstat -S [-h host name] 

-n 

-1[-h host name] 


状態、設定情報の表示を行います。 

〈オプション〉 

- S または引数なし....を種状態を表示します。 

-n . インタコネクトマップを表示します。 

-i . 各種設をを表示します。 

- hhos し name . 操作対象サーバを。指定なしの場合、コマンド実行サーバが対象とな 

ります。 


# clpstat -S 

- cluster status - 

* serverO : fwsl 1.0 -1.4 . 

口 ご ご 'つ • ■FtaTC 〇 ............................................................................ 


JDC 丄 VC 丄丄 • 1-W な厶 . 

serverO serverl 

SERVER STATUS . ONLINE ONLINE 

GROUP0 STATUS . ONLINE OFFLINE —■ 

POLICY 1st 2nd . 

STARTING . ALLOW DENY . 

<A> groupO - ipwO ONLINE ONLINE ■■■■ 


. 丄 bb . 丄 . z . 

<U> groupO-f ipO ONLINE OFFLINE ■■ 

r\ /I <-7 i— n / *^ i— 1— i— i— i— i— r\ ........................................... 


z Oz . 247.5.i / z55.z55.255.0 
<U> groupO -parpO ONLINE OFFLINE ■■ 

on? 94 7 c ： c . 


<U> groupO-execO ONLINE OFFLINE … 

S : / opt / necfws/bin/ckcstat . 


E : / opt / necfws/bin/ckcstat . 


<U> groupO-execl ONLINE OFFLINE 

W : /opt/necfws/bin/ckfwalive 

E : /opt/necfws/bin/ckfwalive -k 



1 


③ 

④ 

靈 

⑦ 

⑧ 

⑨ 

⑩ 

⑩ 

⑩ 

⑩ 



□—ドシェア時には、6円0リド0の情報に弓|を続き6円011ド1の情報び表示されます。 
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cipstat - s の各項目について 


①サーバを （1 台目） 

③サーバをに台目） 

③ サーバの状態 

ONLINE :八ートビートが受信されている 
OFFLINE :八ートビートが受信されていない 

④ グループの状態 


ONLINE 

:正常 

OFFLINE 

:停止 

ERROR 

:異常 

UNKNOWN 

:不明 


⑥フェイルオーバポリシ 
⑥グループ起動の許可/禁止 


ALLOW 

:許可 

DENY 

:禁止 

UNKNOWN 

:不明 


⑦ IPWiJ ソースの 起動種別と状態 


< A > 

< U > 

ONLINE 

OFFLINE 

ERROR 

UNKNOWN 


全サーバ起動 

単サーバ起動 

正常 

停止 

異常 

不明 


⑧ IPW リソース監視アドレス 

⑨ 円 Pij ソースの 状態 

《 IPWIJ ソースと 同様 

⑩ 円 Pij ソース設定アドレス/ネットマスク 
⑩ PARP リソースの状態 

《 IPWIJ ソースと同様 
⑩ PARPiJ ソース設定アドレス 
⑩ EXEC リソースの状態 
《 IPWIJ ソースと同様 
⑩ EXEC リソース起動時実行パス 
S :監視なし 
W :監視あり 

® EXEC リソース停止時実行パス 
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# clpstat 


SERVER : fwsl 


CLUSTER INFORMATION 


CLUSTER : 
STARTUP 
WAIT timeout 
HB port 
HB interval 
HB timeout 
API port 
API timeout 
LOG port 
ping timeout 
RECOVER 
RETRY count 


AUTO ■― 

5 . 

24002 ■■… 

1 . 

5 . 

24001 

30 . 

0 . 

3 . 

RESTART 
5 . 


SERVERO : fwsl - 
INTERCONNECTO 
INTERCONNECT! 


192 ， 168 ， 1 ， 1/2 己己， 2 己己 . 2 己己 ， 0 
192 .168.2. 1/2 己己， 2 己己， 2 己己 ，0 


SERVER1 : fws2 
INTERCONNECTO 
INTERCONNECT! 


:192.168 .1.2/255.255.255.0 
:192.168 .2. 2/2 55.255.255.0 


GROUP 0 : group 0 ■' 
START 
FAILBACK 
ENVIRONMENT 
RECOVER 
RETRY count 
FAILOVER policy 


AUTO . 

MANUAL .I 

ACT-NORMAL ■■… 

IGNORE . 

0/0 . 

0 : fwsl1 : fws2 


IPWO : groupO-ipwO 
TYPE 

POLLING address 
RECOVER 
RETRY count 


ASR . 

192 ， 168,1 ， 2 己 4 

FAILOVER . 

2/2 . 


FIFO 
TYPE 
ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


groupO-fipO 


USR . 

2 02,247. 己 . 3/2 己己， 2 己己， 2 己己 ， 0 

ethO :1 . 

0 . 


RETRY 

5/5 .... 


PARP0 
TYPE 

IP ADDRESS 
MAC ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


group0-parpO 


USR . 

202.247. 己.己 .I 

00 : AO:34 : 1A:4C:D3 

ethO . 

0 . 


RETRY I 
5/5 ■- 


< 次ぺージに続く > 


①®@@@⑥⑦⑨⑨⑩⑩⑩⑩ ⑩⑩ ⑩⑩ ©0® ⑩@ ©©⑩ 
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□-ドシェア時には、 GROUPO の情報に弓 I き続き GR 0 UP 1 の情報び表示されまず。 


El 


cipstat - i の各項目について 

① CLUSTERPRO AE の起動方ま 

YES :自動起動 

N 0 :手動起動 

② 起動待ち合わせ時間(秒） 

③ 八ートビート受信用 UDP ポート番号 

④ 八ートビート送信間隔(秒） 

⑥八ートビートタイムアウト(秒） 

⑥ API 用 TCP ポート番号 

⑦ API タイムアウト(秒） 

⑨□グポート番号 

⑨ ping コマンドタイムアウト(秒） 

⑩ リカバリ方法 


RESTART 

STOP 

HALT 

REBOOT 


⑩ 

⑩ 

⑩ 

⑩ 

⑩ 

⑩ 


UNKNOWN 
リトライ回数 
サーバを （1 台目） 

インタコネクトアドレス 
サーバをに台目） 

インタコネクトアドレス 
グループを 


CLUSTERPRO AE 再起動 
CLUSTERPRO AE 停止 
OS シャツトダウン 
0 S リブ ー h 
不明 


⑩グループ起動方法 


⑩ 


AUTO 

自動 

MANUAL 

手動 

UNKNOWN 

不明 

フェイルバック方法 

AUTO 

自動 

MANUAL 

手動 

UNKNOWN 

不明 

環境変数 


ACT—NORMAL 

:通常起動 

ACT.FAILOVER 

:フェイルオーバ 

DEACT-NORMAL :通常停止 

DEACTJLLEGAL :異常停止 

グループリカバリ方法 

IGNORE 

無視 

RETRY 

再起動 

STOP 

停止 

FAILOVER 

フェイルオーバ 

UNKNOWN 

不明 


⑩リトライ回数 

@運用系サーバを待機系サーバを 
@) IPWiJ ソースを 
@起動タイプ 

ASR :全起動リソース 

USR :単起動リソース 

感 IPW リソース監視対象アドレス 


EXEC0 : groupO-execO 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR . 

/opt/necfws/bin/ckcstat 

/opt/necfws/bin/ckcstat 

NO . 

21623 . 

STOP . 

0/0 . 


EXECl : groupO-execl 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR 

/opt/necfws/bin/ckfwalive 

/opt/necfws/bin/ckfwalive -k 

YES 

21625 

FAILOVER 

2/2 
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® PARP アドレス 
® MAC アドレス 
⑩ PARP インタ フエー ス 
⑩ ping 回数 
@ arp 回数 

® PARP リソースリカバリ方法 
《 IPWiJ ソースと同様 
@リトライ回数 
© EXEC リソースを 
® 起動タイプ 

《 IPWIJ ソースと同様 
⑩ EXEC リソース起動時実行パス 
® EXEC リソース停止時実行パス 
® EXEC リソース監視設定 
《 IPWIJ ソースと同様 
® EXECiJ ソ ースプ □セス ID 
® EXEC リソースリカバリ方法 
《 IPWIJ ソースと同様 
@リトライ回数 


# cipstat -n 

- interconnect information - 


S 0 ]rv 0 ]rO : j_ ws 1 . 

SSIlVSIl 1 : f ws 2 . 




[on serverO : ONLINE]. 

address serverO serverl 



192.168 .1.1 OK OK . 


192.168 .2.1 OK OK 


[on serverl : ONLINE]. 

address serverO serverl 


192.168 .1.2 OK OK 

192.168 .2.2 OK OK 


cipstat - n の各項目について 

① サーバを （1 台目） 

② サーバをに台目） 

③ サーバ （1 台 目） ステータス 

④ プライマリインタコネクトアドレス/ステータス 
⑥セカンダリインタコネクトアドレス/ステータス 
⑥サーバに台目）ステータス 


@ IPW リソースリカバリ方法 


IGNORE 

RETRY 

STOP 

FAILOVER 


UNKNOWN 
⑩リトライ回数 
@ FIP リソースを 
® 起動タイプ 

《 IPWIJ ソースと 同様 
® 円 P アドレス 
⑩円 P インタフェース 
® ping 回数 
® arp 回数 

@円 Pij ソースリカバリ方法 
《 IPWIJ ソースと同様 
® リトライ回数 
® PARP リソース名） 

⑩起動タイプ 

《 IPWIJ ソースと 同様 


無視 

再起動 

停止 

フェイルオーバ 
不明 


①②③ ④⑥ ^ 
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運用系/待機系の切り替え-業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行う場合、 W 下のコマンドを実行します。 

clpgrp -S [-h host name] [-g grouD name] 

-t [-h host name] [-g grouD name] 

-m [-h host name] [-g group_name] 

業務の起動/停止関連操作を行います。 

〈オプション〉 


-S . 業務の起動を行います。すでに起動されていたり、他のサーバで起動 

している場合には失敗します。 

-t . 業務の停止を行います。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実行サーバを切り替えます。業務が起動しているサーバ側で実 

行する必要があります。 

- hhos し name . 操作対象サーバをです。指定なしの場合、コマンド実行サーバが対象 

となります。 - m オプション指を時には、業務移動元サーバの意□末も持 
ちます。 

-9 group . name . 操作対象グループを指をします。指定なしの場合、全グループが対象 
となります。 
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二重化構巧の巧セットアップ 


二重化構成の場合の再セットアップについて説明します。 

次の手順に従って再インス I -ールします。 

再インストールは、 LAN ケーブルをずべてはずしてか 5 実行してくださし、。 


• 管理 サーバ 

Express 5800 / FW 300または FW 500を管理サーバじしている場合の Fi 「 eWall -1 管理サー 
バの再インス I -ールについて説明します。 

1. 3章の r 再セットアップ」-「システムの再インストール」の手順日までを行います。 

2. 起動後、 CD-ROM ドライブに Check Point NGX CD-ROM (CD 1) をセットし、 FireWall-1 
のモジュールを JU 下の手順で適用します。 


# mount / dev/cdrom 

# cd /mnt/cdrom 

# ./UnixInstallScript 


3. [Welcome] 画面が表示されますので、 <N> キーで次に進みます。 

4. 使用許諾書が表示されますので、お読みいただいた後、使用許諾に承認した場合は <Y> キー 
を押します。 

曰.下のメッセージが表示されます。<2>キーを人力し、 <N> キーで次に進みます。 


Check 

Point 

Power 

- for headquarters and branch of£ices 

Check 

Point 

UTM - 

for medium-sized businesses 

1() 

Check 

Point 

Power 

2 (*) 

Check 

Point 

UTM 


6 . i：rF のメッセージが表示されます。<レキーを入力し、 <N> キーで次(こ進みます。 


Please select one of the rollowing options 
1(*) New Installation 

2 ( ) Installation Using Imported Configuration 


7. JU 下のメッセージが表示されます。<2>キーを人力し、 <N> キーで次に進みます。 


The following products are available in this version 
Please select product(s) 


1[]VPN-1 UTM 

2 [*] SmartCenter UTM 

3 [ ] Eventia Reporter UTM 

4 [ ] SmartPortal 
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8 . インストールするプ□ダクトが表示されます。 <N> キーを入力し、次に進みます。 


You have selected the following products for installation : 
* SmartCenter UTM 


9. 下のメッセージが表示されます。ここではライセンス人力しないため、 <n> キーを入力し、 

<Enter> キーで次に進みます。 


Configuring Licenses... 

Host Expiration Signature Features 

Note: The recommended way of managing licenses is using SmartUpdate. 
cpconfig can be used to manage local licenses only on this machine. 

Do you want to add licenses (y/n) [y] ? n 

10 . U 下のメッセージが表示されます。ここでは登録を実施しないため、 <n> キーを人力し、 
<Enter> キーを人力します。継続するので、 <y> キーを人力し、 <Enter> キーを入力します。 


Configuring Administrator... 

No Check Point products Administrator is currently 
defined for this SmartCenter Server. 

Do you want to add an administrator (y/n) [y] ? n 

No administrator is currently denned. 

Are you sure you want to continue? (y/n) [n] ? y 

11.lU 下のメッセージが表示されます。 <n> キーを入力し、 <Enter> キーで次(こ進みます。 


Configuring GUI Clients... 


GUI Clients are trusted hosts from which 

Administrators are allowed to log on to this SmartCenter Server 
using Windows/X-Motif GUI. 

No GUI Clients defined 

Do you want to add a GUI Client (y/n) [y] ? n 


12. じ(下のメッセージが表示されます。 <Enter> キーを2回入力し、次に進みます。 


Configuring Group Permissions... 

Please specify group name [<RET> for super-user groupj : 

No group permissions will be granted. Is this ok (y/n) [y] ? 
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13. J：rF のメッセージが表示されます。 <n> キーを入力し、 <Enter> キーで次(こ進みます。 


Configuring Certificate's Fingerprint... 


The following text is the fingerprint of tnis SmartCenter Server : 


Do you want to save it to a file? (y/n) [n] ? n 


14. 再起動をするか確認のメッセージが表示されます。ここでは、 <E> キーを入力し、次に進み 
ます。 


Installation program completed 

In order to complete the installation 
you must reboot the machine. 

Would you like to reboot the machine ? 

NOTE : Please remove the CD from 

your machine before reboot. 


15. CD-ROM を取り化し、再起動します。 


# cd 

# eject 

# shutdown -r now 


16. 3 章の r 再セツトアップ」 -r システムの再インストール」の手順20を巧い、管理サーバへバッ 
クアップをリストアします。 
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• Firewall 本体 


Firewall 本体の再インス I ル方法じついて説明します。 

1. 3章の r 再セットアップ」-「システムの再インストール」の手順5までを巧います。 

2. 起動後、 CD-ROM ドライブに Check Point NGX CD-ROM (CD1) をセットし、円 reWall-1 
のモジュールを J：i 下の手順で適用します。 


# mount / dev/cdrom 

# cd /mnt/cdrom 

# ./UnixInstallScript 


3. [Welcome] 画面が表示されますので、 <N> キーで夕(こ進みます。 

4. 使用許諾書が表示されますので、お読みいただいた後、使用許諾(こ承認した場合は <Y> キー 
を押します。 

曰.じ(下のメッセージが表示されます。<2>キーを入力し、 <N> キーで次に進みます。 


Check 

Point 

Power 

- for headquarters and branch offices 

Check 

Point 

UTM - 

for medium-sized businesses 

1() 

Check 

Point 

Power 

2 (*) 

Check 

Point 

UTM 


目.じ(下のメッセージが表示されます。<レキーを人力し、 <N> キーで次に進みます。 


Please select one of the rollowing options 
1(*) New Installation 

2 ( ) Installation Using Imported Configuration 


7.]:> (下のメッセージが表示されます。<レキーを人力し、 <N> キーで次に進む。 


The following products are available in this version 
Please select product(s) 


1[*] VPN-1 UTM 

2 [ ] SmartCenter UTM 

3 [ ] Eventia Reporter UTM 

4 [ ] SmartPortal 


8 . インストールするプ□ダクトが表示されます。 <N> キーを人力し、次に進みます。 


You have selected the following products for installation : 
* VPN-1 UTM 


9.lU 下のメッセージが表示されます。 <n> キーを人力し、 <Enter> キーで次に進みます。 


Welcome to Check Point Configuration Program 


Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ? 


I 重化構成について 
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10. J:> (下のメッセージが表示されます。 <y> キーを入力し、 <Enter> キーで次に進みます。 


Would you like to install a Check Point clustering product (CPHA, CPLS or State Synchronization)? (y/n) [ 打 ] ? y 

IP forwarding disabled 


n. j：rF のメッセージが表示されます。ここではライセンス入力しないため、 <n> キーを入力し、 
<Enter> キーで次に進みます。 


Configuring Licenses... 


Host Expiration Signature Features 

Note: The recommended way of managing licenses is using SmartUpdate. 
cpconfig can be used to manage local licenses only on this machine. 

Do you want to add licenses (y/n) [y] ? n 


12. 下のメッセージが表示されます。 <Enter> キーを2回入力し、次に進みます。 


Configuring Group Permissions... 


Please speciry group name [<RET> for super-user groupj : 

No group permissions will be granted. Is this ok (y/n) [y] ? 


13. 下のメッセージが表示されます。円 reWall-1 管理サーバと Firewall 間での通信(こ使用するパ 

スワードを設定してください。 


Conriguring Secure Interna 丄 Communication... 


The Secure Internal Communication is used for authentication between 
Check Point components 

Trust State : Uninitialized 
Enter Activation Key ： 

Retype Activation Key: 


14. 再起動をするか確認のメッセージが表示されます。ここでは、 <E> キーを人力し、次に進み 
ます。 


Installation program completed 

In order to complete the installation 
you must reboot the machine. 

Would you like to reboot the machine ? 

NOTE : Please remove the CD from 

your machine before reboot. 


140 














15. CD-ROM を取り化し、再起動します。再起動後、必要な LAN ケーブルを接続してください。 


# cd 

# eject 

# shutdown -r now 


セキュリティポリシーをインス I -ール 

セ羊ュリティポリシーの再インストールについて説明します。 

1.SmartDashboard か6管理サーバへ接続し、円 reWall-1 管理サーバと円 rewall 本体との通信を巧 
うための設定を行う。 

FireWall-1 管理サーバと Firewall 本体との通信を巧うための設定については、本章の「セキュリ 
ティポリシーの設定」-「円 rewall オブジェクトの作成」を参照してください。 

2. Firewall 本体へセキュリティポリシーをインストールする。 


3. 運用系 Firewall、 待機系 Firewall の順で再起動する。 

□ー ドシェア機能を使用している場合は、再起動の順番は関係ありません。 




注意-制限事頃 


• Firewall 本体が2台 t (上必要です。また、ライセンスは同じユーザー数のものをそれぞれ 
の 実 IP ア ドレスで申請する必要があります。 

• 自動フェイルバック時、接続されていたセッションが切断される場合があります。 

• フェイルオーバが発生した場合、 IKE セッションは失われる可能性があります。 

• 自動フェイルバックが設をされている場合、運用系サーバ再起動後、自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設定されていない場合は、待機系 
サーバで業務が起動されたままじなり、運用系サーバの方が待機状態じなります（運用 
系、待機系の逆転)。運用系サーバに業務を切り替える場合はコマンド ( clpgrp - m ) により 
サーバの切り替えを実行する必要があります。 

• 待機系で監視対象 IP アドレスとの通信途絶が発生している場合、運用系でリソース異常 
が発生しても待機系サーバに業務は引き継がれません。ただし、この場合でもコマンド 
( clpgrp - m ) により業務実行サーバを切り替えることは巧能です。 
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